web-dev-qa-db-ja.com

8192 Diffie-Hellmanはやりすぎですか?

私はようやく自分のサーバーでSSLサーバーテストを実行し、次のメッセージが表示されました。

このサーバーは、弱いDiffie-Hellman(DH)鍵交換パラメーターをサポートします。グレードはBに制限されています。

だから私はopenssl dhparam 8196、1日経っても終わってませんでした。したがって、2つの質問:

  1. それはやりすぎですか、今のところ4096で十分ですか?

  2. openssl dhparam複数のコアで実行しますか?

13
graywolf

2015年12月23日水曜日編集この答えにもう満足していません。私はまだ8k DHParamsが誤った努力とやりすぎだと思います(そして[〜#〜] ec [〜#〜] DHの方がいいです)私が与えた説明は偽物でした。とりあえず「コミュニティWiki」モードになりました。将来的には手直しされる可能性があります。以下の古い投稿。


1)それはやりすぎですか、今のところ4096で十分ですか?

一般的にはい。証明書のキーよりもそのキーを長くすることには多くの用途があるとは思いません。現時点では、8k証明書は非常に一般的ではありません。 2kまたは4kが標準です。

暗号スイートは、プラグインされたいくつかの暗号メカニズムを使用します。 (一時交換の公開鍵。証明書の公開鍵。証明書のハッシュ関数/ MAC関数。セッション暗号化のハッシュ関数/ MAC関数。セッション暗号化の対称暗号など)これらは、鎖。そしてチェーンのように:それは数える最も弱いリンクです。最も弱いリンクを強化するために費やされた努力は、おそらく無駄な努力です。

(現在、暗号スイートを構成するいくつかの暗号部分はすぐには比較できませんが、大まかなコンセンサスがあります。KeyLength.comはそのための計算機を提供しています。)

「すべてのリンクを同等に難しくする」アプローチの言葉さえあると思います。しかし、現時点では思い出せません。)

2)openssl dhparamを複数のコアで実行できますか?

わからないそう思わないでください。しかし、私はあなたがどちらもする必要があるとは思いません。だから弾丸1。

16
StackzOfZtuff
  1. それはやりすぎですか、今のところ4096で十分ですか?

はい 。 2048年で十分と考えられています。

  1. openssl dhparam複数のコアで実行しますか?

コードはランダムで安全な素数を探すことで機能します。複数回並行して実行することができ、1つが終了するとパラメータセットを取得できます。

11
otus
  1. それはやりすぎですか、今のところ4096で十分ですか?

目指すセキュリティレベルによって異なります。 8192ビットのdhparamは、192ビットの対称鍵暗号化とほぼ同じです。 256ビットグレードの暗号化が必要な場合、8192ビットのdhparamは弱すぎてその要件を満たすことができません。 128ビット暗号化で問題がなければ、4096ビットdhparamで十分です。

さまざまな組織からの対称、離散対数、およびECCアルゴリズムのキー長の推奨事項が記載された詳細なテーブルについては、 Keylength ページをご覧ください。

3
Michał Staruch